“Se Souvenir De Moi Sur Cet Ordinateur” - Comment Devrait-Il Travailler?

Regardant Gmail cookies, il est facile de voir ce qui est stocké dans le "se souvenir de moi" cookie. Le nom d'utilisateur/une-heure-accès à jeton. Il pourrait être mis en œuvre différemment dans les cas où le nom d'utilisateur est secret, ainsi. Mais quelle que soit la... la chose n'est pas très haute sécurité: vous voler le cookie et vous êtes prêt à aller.

Ma question est sur le côté fonctionnel, cependant: quand pensez-vous d'essuyer leurs jetons d'accès? Si un utilisateur se connecte sans cliquant sur "se souvenir de moi" sur une autre machine, faut-il invalider leurs jetons d'accès sur toutes les machines? Je me demande comment cela est traditionnellement mis en œuvre, et comment il devrait être mis en œuvre.

InformationsquelleAutor Dan Rosenstark | 2009-07-02
  1. 15

    J'utilise régulièrement 2 ou 3 machines simultanément, et ont de "se souvenir de moi" sur chacun d'eux. Si l'un d'eux déconnecté les autres, ce serait très gênant, donc je ne le recommande pas.

    Traditionnellement, ce serait d'utiliser un time-out, le cookie expire après un certain laps de temps (ou quand l'utilisateur se déconnecte).

    Tout dépend de votre modèle de sécurité. Si vous êtes à la rédaction d'un interne de l'entreprise de l'application où vous ne jamais s'attendre à un utilisateur sur un ordinateur, alors vous pourriez vouloir avoir des restrictions plus sévères que gmail.

    Aussi, garder à l'esprit la possibilité de Déni de Service - si une action sur une seule machine peut obliger l'autre à la machine d'être inutilisable ce qui pourrait être utiliser pour empêcher l'utilisateur légitime de prendre le contrôle de retour dans certains scénarios.

    • +1 j'allais écrire sur la même réponse, à l'aide régulièrement les mêmes sites sur 4..5 ordinateurs et les téléphones portables.
    • Merci pour cela. Donc, lors de la déconnexion, je pourrais tuer tous les persistants sessions? Ce ne serait pas gênant? Ça sonne bien pour moi.
    • tuer toutes les sessions persistantes sur déconnexion semble comme une chose raisonnable à faire. Sinon, vous auriez à garder la persistance de session par ordinateur, ainsi que par l'utilisateur. De cette manière, il pourrait aussi fonctionner comme une mesure de sécurité pour la conscience de l'utilisateur, qui pourrait assurez-vous qu'il est des coups de pied toute personne connectée à son compte.
    • Je pense que vous avez besoin d'un modèle mental de ce que les moyens de déconnexion. Si cela signifie "Cet ordinateur devrait maintenant être sans danger pour quiconque de poursuivre, je n'ai pas à m'inquiéter" alors il ne faut pas déconnecter toutes les sessions. Par exemple, pourrais-je veux garder mon téléphone connecté quand je marche loin de l'internet café. Toutefois, si la déconnexion signifie "la force de quelqu'un qui essaie de se connecter à authentifier à nouveau" puis tous les utilisateurs doivent être coupés. Je préfère le premier, mais dans un cas pourrait être fait pour le dernier
    • Merci pour vos commentaires, Nick. Ma préoccupation est la sécurité, est de zéro, parce que ce souvenir de moi chose est assez risqué. Je suis juste inquiet au sujet de la geste de la fermeture de session, si vous voulez. Est-il une raison pour un utilisateur de supposer que "déconnexion" signifie "journal de moi hors de tout souvenir de moi avait des séances?" De toute façon, maintenant que ma curiosité est piquée, je vais devoir essayer ce genre de choses dans un peu de navigateurs pour voir ce que Google et leur facilité d'utilisation de l'équipe ont mis au point.
    InformationsquelleAutor Nick Fortescue
  3. 5

    Ouverture de session à partir d'une autre machine ne devrait pas invalider la connexion associée à un cookie sur une machine différente. Toutefois, si les utilisateurs logsout ou "pas vous? connectez-vous ici" ce qui devrait effacer le cookie sur lequel l'utilisateur travaille.

    Par le moyen de voler un cookie peut être difficile, en insistant sur https et il n'est pas pour l'écriture de scripts.

    En ajoutant "; HttpOnly" à la sortie de votre cookie cela va rendre le cookie indisponible pour javascript par exemple

    HTTP/1.1 200 OK
Cache-Control: private
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Vary: Accept-Encoding
Server: Microsoft-IIS/7.0
Set-Cookie: ASP.NET_SessionId=ig2fac55; path=/; HttpOnly
X-AspNet-Version: 2.0.50727
Set-Cookie: user=t=bfabf0b1c1133a822; path=/; HttpOnly
X-Powered-By: ASP.NET
Date: Tue, 26 Aug 2008 10:51:08 GMT
Content-Length: 2838

    vous pouvez lire plus sur ce

    • +1 pour les cookies httpOnly
    • Merci, David. Pouvez-vous svp me donner quelques liens ou quelque chose sur quoi nous parlons avec un cookie "pas pour le script?"
    • Modifié selon la demande.
    • Désolé pour la mise en forme, le bloc de code semble être de décider sur des couleurs intéressantes
    InformationsquelleAutor David Waters
  4. 3

    Le cookie se souvenir de moi doit identifier la machine. Il doit être lié à la machine, car il y a des endroits où vous souhaitez être rappeler et d'autres endroits où vous n'avez pas (à la maison vs travail).

    Date d'Expiration est fixée généralement à une période raisonnable (deux semaines) ou après que l'utilisateur a explicitement déconnecté de la machine,

    • Ce qui permettrait d'identifier la machine? Je ne peux pas obtenir l'adresse Mac, l'agent utilisateur n'est pas unique, et les changements d'adresse IP?
    • il n'y a aucun moyen d'identifier de manière unique à la machine, mais vous pouvez utiliser le standard des techniques d'approximation, la combinaison de la propriété intellectuelle/UserAgent pour exemple. Et d'échouer sur le côté sûr, s'ils changent, ils changent et c'est une machine différente (même quand il n'est pas)
    • Grâce Vinko. J'ai juste pensé que peut-être il y avait une magie navigateur clé. Mais s'il y a, les pirates de sites savent trop... je vais voter, vous, même si je ne suis pas d'accord avec IP en Divisant.
    InformationsquelleAutor Vinko Vrsalovic
  5. 0

    Ce que je voudrais faire est de lier chaque session à une adresse IP. Si l'un jeton de session est envoyé à partir d'une adresse IP différente à celle que vous avez pour que, de la rejeter.

    • Qui ne fonctionne pas pour un utilisateur qui potentiellement obtient une adresse IP différente à chaque fois qu'elles passent le pouvoir sur leur modem. En outre, il permettrait à quelqu'un sur un réseau d'entreprise où chaque machine dans la société arrive à Internet par le biais d'un seul serveur proxy pour voler les informations d'identification d'un autre utilisateur. Les adresses IP ne sont utilisation que ce soit pour l'identification d'un utilisateur, même pas sur une seule séance, car certains fournisseurs de services internet peuvent acheminer les demandes par le biais de différents non-transparent proxies tout à fait aléatoire.
    • idem NickFitz: sur tant de questions de ce type, les gens ont toujours rejeter IP de sécurité, puisque les adresses IP changent pour de nombreux utilisateurs.
    • "(...)depuis des adresses IP changent pour plus utilisateurs." A-t-il que pour vous.
    InformationsquelleAutor Sionide21
  6. 0

    Jetons d'accès doit être une adresse IP spécifique, de sorte qu'ils ne peuvent pas être facilement transférés sur des machines.

    Ils devraient également être mis en œuvre d'une manière qui permet aux utilisateurs de voir ce que les machines qu'ils ont active jetons sur.

    Sites qui choisissent de tuer un jeton, une fois un nouveau est créé sur un autre ordinateur - de faire le choix qui leur utilisateurs ne pourront pas accéder à leurs services sur plusieurs ordinateurs - ou si elles le font, que leur utilisation justifie en faisant d'eux de se connecter à nouveau.

    La politique que vous employer dépend vraiment sur les données vous tenez et les besoins de l'utilisateur.

    InformationsquelleAutor Grouchal